SchwachstellenHackerangriffeCyberkriminalität

Progress ShareFile: Kritische Sicherheitslücken ermöglichen Angriffe ohne Authentifizierung

Progress ShareFile: Kritische Sicherheitslücken ermöglichen Angriffe ohne Authentifizierung
Zusammenfassung

Zwei kritische Sicherheitslücken in Progress ShareFile, einer Enterprise-Lösung für sichere Dateiübertragung, können zu verheerenden Cyberattacken führen. Sicherheitsforscher der Firma watchTowr haben entdeckt, dass eine Authentifizierungsumgehung (CVE-2026-2699) kombiniert mit einer Remote-Code-Execution-Schwachstelle (CVE-2026-2701) es Angreifern ermöglicht, ohne vorherige Anmeldung auf ShareFile-Systeme zuzugreifen und beliebigen Code auszuführen. Die Lücken betreffen die Storage Zones Controller-Komponente in ShareFile Version 5.x und könnten für umfangreiche Datendiebstähle missbraucht werden. Besonders besorgniserregend ist, dass laut watchTowr etwa 30.000 Storage Zone Controller-Instanzen öffentlich im Internet erreichbar sind. Für deutsche Unternehmen und Behörden, die ShareFile zur Datenverwaltung nutzen, stellt dies ein erhebliches Risiko dar. Progress hat zwar bereits am 10. März einen Patch in Version 5.12.4 veröffentlicht, doch viele Organisationen könnten noch nicht aktualisiert haben. Da die Sicherheitslücken nun öffentlich bekannt sind, ist mit aktiven Exploitversuchen durch Ransomware-Banden zu rechnen, ähnlich wie bei früheren Fällen wie der Clop-Gruppe. Deutsche IT-Verantwortliche sollten sofort überprüfen, ob ihre ShareFile-Installationen aktualisiert sind.

Die beiden Sicherheitslücken CVE-2026-2699 und CVE-2026-2701 in der Storage Zones Controller-Komponente (SZC) von Progress ShareFile ermöglichen eine vollständige Kompromittierung betroffener Systeme. Die Angriffskette beginnt mit dem Authentifizierungs-Bypass CVE-2026-2699, der durch unsachgemäße Verarbeitung von HTTP-Weiterleitungen ausgelöst wird und Angreifern Zugriff auf das ShareFile-Admin-Interface verschafft.

Ist der erste Schritt erfolgreich, können Attackers kritische Konfigurationsparameter manipulieren, darunter Dateispeicherpfade, Zone-Passphrasen und sicherheitsrelevante Geheimnisse. Im zweiten Schritt nutzen sie die Remote-Code-Execution-Lücke CVE-2026-2701 aus, um bösartige ASPX-Webshells in das Anwendungsverzeichnis hochzuladen und dadurch vollständige Kontrolle über den Server zu erlangen.

Obwohl die Ausnutzung valid HMAC-Signaturen und das Extrahieren interner Secrets erfordert, werden diese Hürden durch die erste Schwachstelle überwunden — die Angreifer können die notwendigen Werte selbst setzen oder kontrollieren.

Die Forschungsgruppe watchTowr entdeckte die Flaws zwischen dem 6. und 13. Februar und bestätigte die komplette Exploit-Kette am 18. Februar. Progress reagierte relativ schnell und veröffentlichte Sicherheitsupdates in Version 5.12.4 am 10. März.

Als besonders besorgniserregend gilt die Anzahl exponierter Systeme: Scan-Ergebnisse deuten auf etwa 30.000 öffentlich erreichbare Storage Zone Controller hin. Die ShadowServer Foundation registriert aktuell 700 internet-exponierte ShareFile-Instanzen, überwiegend in den USA und Europa.

Obwohl bislang keine aktiven Exploits in der freien Wildbahn dokumentiert wurden, besteht akuter Handlungsdruck. Die öffentliche Offenlegung der Exploit-Kette wird voraussichtlich Cyberkriminelle anlocken — insbesondere Ransomware-Banden, die bereits Sicherheitslücken in ähnlichen Produkten wie Accellion FTA, SolarWinds Serv-U und MOVEit Transfer erfolgreich ausgenutzt haben.

Unternehmen sollten ihre ShareFile-Installationen sofort überprüfen und auf Version 5.12.4 oder höher aktualisieren. Die regelmäßige Überwachung exponierter Systeme und die Implementierung starker Zugriffskontrollmechanismen sind ebenfalls essentiell.

Ähnliche Artikel